Il mio cliente ha bisogno di dettagli della carta di credito inviati via email, funzionerà un file crittografato?

Naviga le tue risposte
5

Ho un nuovo cliente che è un rivenditore per pacchetti vacanza. Hanno più grossisti e il mio cliente viene incaricato dai grossisti di accedere al loro conto all'ingrosso e inserire i dettagli della carta di credito del cliente per loro conto per prenotare il viaggio.

Personalmente ho confermato che questa è la loro pratica standard ei grossisti non offrono assolutamente assistenza. Il modo in cui il mio cliente gestiva questo con il loro precedente provider di hosting era di avere un semplice modulo sul loro sito Web, che i loro clienti avrebbero utilizzato e le informazioni della carta di credito sono state inviate via e-mail.

Questo è male, ovviamente.

Per aggiungere confusione, i grossisti richiedono il codice di sicurezza per la carta.

Non voglio passare attraverso l'esame accurato della conformità PCI, quindi ho alcune domande:

  1. Qualcuno sa di servizi di terze parti con cui questo modulo potrebbe risiedere? È inoltre necessario tenere presente che è necessario il CVV.
  2. Che cosa succede se ho creato un file crittografato che viene inviato via email al mio cliente al momento dell'invio del modulo e creare un'app desktop per inserirli in una chiave per decodificarlo?
  3. La mia attività è potenzialmente soggetta a responsabilità se creiamo una soluzione e alcuni come, in qualche modo, le informazioni sulle carte di credito di qualcuno cadono in mani dannose? Forse non dovrei permetterlo sul mio server e costringerli a ottenere un nuovo host, indipendentemente dal fatto che lavoriamo o meno.

Non ho assolutamente idea di come risolvere al meglio questa situazione. Migliaia di rivenditori di pacchetti vacanza in tutto il mondo, e questo è quello che dovrebbero fare? Ho suggerito al mio cliente di prendere i dettagli della carta per telefono e di distruggerli dopo aver effettuato il pagamento, ma non sono in grado di farlo a causa di molteplici motivi.

Questo è finito in un sacco di ricerca e lettura di altri scenari. Tutti i servizi di "archiviazione" della carta di credito che ho trovato non memorizzano e non memorizzano il codice di sicurezza.

Sono a una perdita totale. Si prega di avvisare.

    
posta user1447679 15.10.2015 - 17:46
fonte

3 risposte

1

Credo che la situazione sia un po 'più brutta di quanto tu possa aver capito. Se fossi in questa situazione, mi impegnerei a trovare la concorrenza del grossista! Vorrei un grossista che fornisca un servizio in grado di accettare direttamente ordini dal sito del tuo cliente o, meglio ancora, una pagina che possa essere collegata dal tuo sito per consentire all'utente di inserire le informazioni direttamente nel sistema del grossista.

PCI-DSS non si applica formalmente al cliente se non nella misura in cui il grossista richiede che siano conformi. È necessario comprendere che PCI-DSS è un requisito contrattuale tra le entità aziendali. Non è una legge che tutti devono rispettare. Non stai inviando i dati della carta a un elaboratore di carte di credito, ma solo a un commerciante. Il grossista è probabilmente in violazione delle sue responsabilità contrattuali nei confronti del processore della scheda, ma questo non espone direttamente i clienti del grossista (vale a dire il tuo cliente) ai requisiti specifici PCI.

Detto questo, il potenziale per azioni legali contro il tuo cliente da parte dei clienti i cui dati cc sono compromessi possono esistere. Non sono un avvocato e questo non è un consiglio legale autorevole. ANCHE, indipendentemente dal PCI, credo che ogni stato negli Stati Uniti abbia ora leggi sulla violazione dei dati che richiederanno al cliente di notificare ai clienti i dati esposti e fornire protezione del credito per un certo periodo, di solito almeno 1 anno, in caso di violazione.

Quindi, PCI non si applica realmente, ma devi stare attento a come gestisci tutti i dati dei clienti. Ora, discutiamo dei possibili approcci.

Due approcci di crittografia si suggeriscono: crittografare un file e inviare il file via e-mail; utilizzando l'e-mail crittografata usando S / MIME. Personalmente, mi piace l'approccio e-mail crittografato. Un'e-mail può essere costruita e crittografata in memoria in modo che i dati non crittografati non vengano mai depositati sull'unità del server. Scrivere un file e quindi crittarlo aggiunge un livello di rischio.

Con S / MIME userai naturalmente un certificato x509 con una coppia di chiavi pubblica / privata per la crittografia asimmetrica. Se segui l'approccio per file crittografati, ti esorto a utilizzare la crittografia asimmetrica piuttosto che la crittografia simmetrica molto più semplicistica. La grande differenza tra i due è che una soluzione asimmetrica sul server web avrebbe solo la chiave pubblica. Se il server è stato compromesso, l'utente malintenzionato non ha la possibilità di decodificare i messaggi. Solo il tuo cliente, utilizzando la chiave privata, potrebbe decodificare i messaggi.

Sono disponibili diverse soluzioni di crittografia. Una libreria robusta, matura e open source è GPG . È anche molto ben documentato e versatile. Potrebbe essere usato per entrambi gli approcci che ho descritto.

    
risposta data 16.10.2015 - 01:38
fonte
0

In pratica, trovo che la crittografia basata su standard (come la crittografia S / MIME e GPG @JaimeCastells suggerita) non sia fattibile per gli utenti finali. Avere clienti che passano attraverso il problema di configurare un software come questo per inviare informazioni è spesso irrealizzabile. Richiede alcuni esperti tecnici decenti per installare e utilizzare questi programmi e mantenere l'accesso alla tua chiave privata - e prevedo molti problemi con gli utenti finali che prenotano le vacanze attraverso un rivenditore che non è in grado di farlo.

Quello che potresti fare è:

  • Imposta un'applicazione web come ownCloud, un'istanza di Wordpress personalizzata, ecc. su un server nell'ufficio del cliente.
    • Se si utilizza owncloud, abilitare la crittografia Owncloud
    • Forza HTTPS
    • Invia ai clienti un link via e-mail a un modulo di testo che possono compilare con le loro informazioni
    • Tempesta il server, stringi i firewall, ricevi aggiornamenti regolari, tutto ciò che riguarda le best practice
  • Utilizza una soluzione come box.com o altro spazio di archiviazione sul cloud
    • Ancora una volta, imposta un documento modificabile con cui i clienti possono inviare le loro informazioni.
  • Utilizzare una soluzione di crittografia e-mail come Virtru o Zix
    • Potrebbe esserci un avvertimento in merito al fatto che gli utenti dovranno ricordare di utilizzare questi meccanismi piuttosto che una normale posta elettronica.

Il vantaggio di fare qualcosa di simile è permettere a te, o al suo reparto IT, di avere il controllo centrale sull'accesso. Verrebbe anche eseguito tramite HTTPS, che fornisce il livello di crittografia TLS. Abilitando la crittografia del filesystem, o meglio, la crittografia a livello di applicazione Web (come la crittografia owncloud suggerita) rende ancora più sicuro.

Sicuramente posso dirti che questo non si qualificherebbe per PCI, e anche qui vengono sollevate questioni legali sulla responsabilità a cui può rispondere solo un avvocato nella tua località. Questo è semplicemente il mio tentativo di suggerire una soluzione "reale" che migliorerà notevolmente la sicurezza e sarà comunque utilizzabile.

    
risposta data 17.10.2015 - 20:01
fonte
-3

Preparati con burlingtonbankcard.com per elaborare i pagamenti e utilizzare qualys.com per la conformità con pci

    
risposta data 16.10.2015 - 00:07
fonte

Leggi altre domande sui tag

Quale linguaggio di programmazione usa questo codice? Se l'hashing è unidirezionale, perché possiamo decodificare gli hash MD5?